根據一項新研究，每16個IT資產中就有一個已達到生命周期終點階段，這可能會使企業暴露于已知但未修補的漏洞中。

這一數據來源于對Sevco客戶和潛在客戶網絡中120萬個IT資產（包括服務器和設備）可見性聚合的原始數據分析。

Sevco的研究不僅發現6%的資產已達到生命周期終點，還發現28%的IT資產缺少至少一種關鍵控制——終端保護或補丁管理。

第三方專家表示，過時軟件和影子IT系統（未經IT部門管理和控制的員工使用的非授權技術）帶來的問題正在增加。

在影子IT中

“暴露在互聯網中的非標準、未管理的設備的數量和可用性正成倍增長，這些設備通常由非安全意識的用戶配置，”Forescout的安全情報副總裁Rik Ferguson表示，“這些設備通常沒有傳統IT資產那么安全或可見，仍然特別容易受到攻擊。”

上個月，一名威脅行為者被發現試圖出售對大型云安全公司Zscaler的訪問權限。經過調查，Zscaler發現了一個不在其核心基礎設施上的測試服務器。

2023年發生的Okta攻擊被歸因于未經授權的IT系統使用，企業憑證被保存到個人Google賬戶，然后工作筆記本電腦感染了惡意軟件，這突顯了影子IT如何導致未經授權的訪問和潛在的數據泄露。

生命周期結束——但風險未結束

過時軟件通過增加攻擊面和使組織更容易受到攻擊而構成重大風險。

例如，2018年針對英國航空公司的一次高調攻擊中，一個過時的JavaScript版本是一個促成因素。2017年臭名昭著的WannaCry惡意軟件暴露了英國醫院和其他地方過時的Windows XP系統的風險。

供應商認為已達到生命周期終點（EOL）的IT資產不再受益于常規軟件更新或安全補丁，除非支付額外費用以獲得擴展支持。例如，當Windows 10在2025年10月達到生命周期終點后，為一臺PC提供三年的擴展安全更新的基本費用將是427美元，這略低于2023年為Windows 7 PC提供補丁的490美元。盡管企業可能會獲得更好的定價，但一些資金緊張的組織決定冒險也就不足為奇了。

KnowBe4的首席安全意識倡導者Javvad Malik表示：“過時軟件的最大風險在于那些歷史上未連接到互聯網的領域。因此，像醫院或關鍵基礎設施這樣的地方通常會運行過時的軟件。”

ImmuniWeb的CEO Ilia Kolochenko認為，影子IT和過時軟件的問題是“深度交織在一起的”。

“為了應對影子IT帶來的風險，企業應該維護并持續更新所有系統、軟件、用戶、賬戶、數據以及有任何訪問企業數據權限的第三方的全面清單，”ImmuniWeb的Kolochenko告訴CSOonline.com。

有時，即使是正式批準的IT系統也沒有及時更新，例如那些沒有足夠補丁管理系統的系統，這些系統在Sevco研究中被發現。

例如，2017年Equifax數據大劫案就是因為一個未打補丁但完全可以打補丁的Apache Struts實例。

專家一致認為，企業需要進行徹底的審計和風險評估。最好的防御措施包括嚴格的配置管理、軟件物料清單跟蹤、安全意識培訓以及限制可安裝的內容。

“With Secure威脅情報總監Tim West表示：“了解你的攻擊面并定期進行外部資產映射練習至關重要。需要注意的是，答案不僅僅是技術層面的。影子IT背后還有一個人為因素以及它發生的原因。培訓并確保現有流程滿足員工需求也同樣重要。”

ImmuniWeb的Kolochenko補充道：“即使是經驗豐富的軟件開發人員，有時也會不小心在云中部署一個容器，里面有生產數據，用來實驗一些新功能，最后卻忘記了，更不用說那些用家用電腦或移動設備處理業務的非技術用戶了。”